Die Skeptiker in Sachen TikTok dürften sich bestätigt fühlen: Nutzerdaten wurden rechtswidrig in China gespeichert. Das steht nach einem Bescheid der Data Protection Commission Ireland als zuständiger Aufsichtsbehörde nun fest: Die TikTok-Mutterfirma hatte die Aufsichtsbehörden über Jahre angelogen. Zumindest einige Daten von EU-Nutzern waren auf Servern in China gespeichert, wie TikTok-Betreiber Bytedance im April eingestehen musste. Angeblich erst im Februar 2025 hatte Bytedance demnach selbst festgestellt, dass die vorherigen Angaben unzutreffend waren.
Bytedance musste China-Speicherung einräumen
"Die DPC nimmt diese kürzlichen Entwicklungen sehr ernst", sagt der stellvertretende Vorsitzende der irischen Datenschutzaufsichtsbehörde, Graham Doyle. "Auch wenn TikTok der DPC mitgeteilt hat, dass die Daten nun gelöscht wurden, prüfen wir gemeinsam mit den anderen EU-Datenschutzaufsichtsbehörden, welche weiteren regulatorischen Maßnahmen nötig sind." TikTok hatte auch öffentlich vielfach beteuert, dass Nutzerdaten, die der Datenschutzgrundverordnung unterliegen, nicht in China gespeichert würden: So heißt es etwa bis heute auf einer "Mythen und Fakten"-Seite des Betreibers Bytedance, dass Daten in den USA, Singapur und Malaysia, aber nicht in China gespeichert würden. Daran bestanden seit langem Zweifel. Mit dem Eingeständnis im irischen Datenschutzverfahren ist die bisherige Behauptung der Firma nun widerlegt.
In dem Verfahren, das bereits seit 2021 lief, hat die DPC nun eine Geldbuße in Höhe von 530 Millionen Euro gegen den TikTok-Betreiber verhangen. Dass eine Strafe in dieser Höhe im Raum stehe, war bereits Anfang April durch Medienberichte bekannt geworden. Die irische Aufsichtsbehörde ist aufgrund des Europasitzes der Firma federführend für die Durchsetzung der Datenschutzgrundverordnung zuständig.
DSGVO und Speicherung in China kaum vereinbar
Die DPC ordnete an, dass TikTok nach Rechtswirksamkeit des Bescheides innerhalb von sechs Monaten seine Datenverarbeitung in Einklang mit der DSGVO zu bringen habe und Datentransfers nach China einstellen müsse, wenn diese nicht DSGVO-konform erfolgen. Dazu müsste Bytedance belegen, dass der Schutz der Daten auch bei einer Speicherung dort dem EU-Schutzniveau grundsätzlich vergleichbar stattfindet.
Die Gesetzgebung der Volksrepublik selbst steht dem im Wege: Der totalitäre Einparteienstaat genehmigt sich im Sicherheitsrecht massive Zugriffsrechte und Mitwirkungspflichten für chinesische Staatsbürger und ob das geschriebene Recht Chinas in Fällen der nationalen Sicherheit überhaupt eine größere Rolle spielt, wird von vielen Experten bezweifelt. Nur über technische Maßnahmen zum Schutz von EU-Daten würde eine Datenübertragung in die Volksrepublik daher überhaupt zulässig sein können.
TikTok habe es aber versäumt, "zu überprüfen, zu garantieren und nachzuweisen, dass die personenbezogenen Daten von Nutzern aus dem Europäischen Wirtschaftsraum, auf die Mitarbeiter in China aus der Ferne zugreifen, ein Schutzniveau genießen, das im Wesentlichen dem in der EU garantierten Schutzniveau entspricht", heißt es in einer Mitteilung der DPC nun. Damit habe TikTok einen "potenziellen Zugriff chinesischer Behörden auf personenbezogene Daten aus dem Europäischen Wirtschaftsraum im Rahmen der chinesischen Gesetze zur Terrorismusbekämpfung, zur Spionageabwehr und anderer Gesetze nicht berücksichtigt."
Rechenzentrum in Norwegen soll Problem richten
Dass diese Problematik besteht, hatte Bytedance selbst in seinen eingereichten Unterlagen angegeben und auch deshalb das sogenannte "Project Clover" gestartet: Daten aus den Ländern, die unter die DSGVO fallen (alle 27 EU-Mitgliedstaaten sowie Norwegen, Liechtenstein und Island) sollen künftig in sicheren EU-Rechenzentren gespeichert werden. Vor allem ein Rechenzentrum im norwegischen Hamar, nördlich der Hauptstadt Oslo, soll dafür in Zukunft Sorge tragen und ging Anfang April laut Bytedance ans Netz. Dass der physische Standort des Rechenzentrums allein jedoch nicht ausreicht, thematisiert die irische Datenschutzaufsicht allerdings ebenfalls -- es gehe auch dann darum, den Zugriff durch Mitarbeiter entsprechend den Vorgaben der DSGVO abzusichern.
(mack)
